基于聚类的网络异常检测

探索一种基于聚类来识别异常的方法,这个方法不需要手动标示的训练数据集却可以探测到很多不同类型的入侵行为.实验结果表明该方法是可行的和有效的,使用它来进行异常检测可以得到探测率和误报率的一个平衡,从而为异常检测问题提供一个较好的解决办法.     

基于HMM的通信流量异常检测

选用HMM在原模型的基础上针对算法下溢、概率转移矩阵过大、计算结果P(O|Ψ)值过小等问题分别进行优化.使用优化后的HMM对训练集进行训练,并根据训练结果,调整部分参数使模型正确率得到提高.实验结果证明HMM在通信流量时间序列异常检测方面效果更好.HMM作为异常检测的基本算法,因其不需要针对每种类型的异常点分别进行优化,从而降低了复杂度,且对未知异常值也有一定的检测能力.     

基于卫星图像时间序列连续异常检测方法优缺点

本文作者依据多年工作经验,对卫星图像时间序列连续异常检测方法优缺点进行了研究分析,以便和同行切磋与交流。     

一种基于光流法的逆行异常事件检测方法

机场大厅、公路等公共场合,经常需要行人或车辆单向运动,以保障开放环境的安全性及秩序性.对监控视频中的逆行异常事件进行检测,便于管理人员及时对可疑事件做出处理.提出了一种逆行异常事件的检测算法,它基于图像中特征点的光流场以及空间分布特性对特征点进行聚类,然后通过计算符合逆行条件的特征点数量实现对逆行异常事件的检测.理论分...     

基于进程行为的异常检测模型

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.     

一种基于符号化的时间序列预测方法

本文提出一种基于符号化方法对时间序列进行预测。该方法利用矢量拟合来表达时间序列走势的形态,采用聚类算法对形态进行聚类,根据聚类结果得到符号序列,并用不完全抽取方法来抽取序列模式。预测时,根据学习得到的模式集对新序列做出预测分析。对导航位置误差数据实验表明,该方法可以对时间序列进行较好预测。     

基于隐含模式的异常检测算法

如何检测系统中的临界变化,一直是一个难题。该文提供了一种新的基于隐含模式的异常检测算法。机是一种新的计算力学理论,它能从时间序列中发掘系统的隐含模式。因果态分割重建算法(CSSR)是目前重构机的最成熟算法,它可以推理出一个因果态集合,所有的因果态构成一个隐马尔可夫模型。在因果态集合的基础上,建立一个表达系统特征的向量,不同向量间的距离可以定义成系统异常的测度。把时间序列分段,分别计算每部分的异常度,就可以得到系统的异常演变曲线。在Duffing振子的例子中,该算法不仅有效检测,还提前预测到系统分叉的发生,说明该算法具有很好的应用潜力。     

基于熵权聚类网络异常行为的检测方法研究

为了提高传统异常检测技术对尺度异常行为的检测能力,提出了一种基于统计量的聚类模型识别方法,将数据集中的每个数据与模型识别聚类中心的欧几里得距离进行比较,从而识别是否存在数据异常。不打破传统异常检测技术处理隔离机制,保证了规模异常行为的识别,解决了传统异常检测方法假设异常数据进行隔离的局限性。为了提高聚类精度,采用熵值法校正欧氏距离对数据属性进行加权,优化了最近邻聚类算法的相似性,并进行仿真。实验结果表明,统计方法和改进的聚类方法具有更高的聚类效率和自适应性。     

基于模糊序列电网异常检测建模方法与研究

采用序列模式挖掘算法构建电网异常检测模型,能够更好地表现电网异常行为。基于此进行了电网异常检测建模方法的研究,并提出了一个基于模糊序列模式的电网异常检测模型。通过理论分析和仿真实验证明,提出的模型不仅具有检测异常行为的实际能力,而且检测效率和检测性能都得到了很大的提高。     

基于机器学习的网络异常流量检测方法

研究一种基于机器学习的网络异常流量检测方法。使用改进型ANFIS算法作为建立的网络异常流量检测方法的核心算法。由于传统的神经网络算法使用的梯度下降算法在实际应用时,存在易陷入局部极小值,训练效率低下等问题,因此研究的改进型ANFIS算法使用附加动量算法修正模型参数,使系统能够越过误差曲面的局部最小值。最后使用KDD CUP99数据库以及LBNL实验室测试的数据对改进型ANFIS算法和BP神经网络算法的检测方法进行性能测试。结果表明,使用改进型ANFIS算法检测系统的训练效率以及检测准确率均优于使用BP神经网络算法建立的模型。     

基于光度数据的多域光网络异常信息检测方法研究

当前大部分异常信息检测方法均存在依赖异常信息特征,从被检测目标发现攻击行为的弊端,不适于多域光网络异常信息检测,为此,提出一种基于光度数据的多域光网络异常信息检测方法.设计了光度数据采集平台结构,通过单片双通道高速流水线式A/D转换器完成对光度数据的实时采集.针对采集的光度数据,利用时间间隔步隆过滤器,通过二维步隆过滤...     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

基于改进CURE聚类算法的无监督异常检测方法

提出了一种基于改进的CURE聚类算法的无监督异常检测方法.在保证原有CURE聚类算法性能不变的条件下,通过对其进行合理的改进获得更加理想的簇,也为建立正常行为模型提供了更加纯净的正常行为数据.在建模过程中,提出了一种新的基于超矩形的正常行为建模算法,该算法有助于迅速、准确地检测出入侵行为.实验采用KDDcup99数据,实验结果表明该方法能够有效地检测网络数据中的已知和未知入侵行为.     

基于频繁模式的KPI异常检测研究

文章针对TD-SCDMA现网采集的网络关键绩效指标(Key Performance Indicator,KPI),,利用频繁模式挖掘的方法,重点分析掉话率、无线接通率、拥塞率等之间的关联性。将频繁模式项定义为正常模式,以此进行异常模式检测。这样的方式不仅有效地检测了网络存在的异常组合,也反映了参数之间的关联性,对快速在线检测起到了有效的指导作用。     

基于GA改进BP神经网络网络异常检测方法

考虑到常规BP神经网络算法容易陷入局部最优解,所建立的网络遗传流量检测模型检测效率低,准确率不高等问题,提出一种改进型GA优化BP神经网络算法,并使用其建立网络遗传流量检测模型。常规遗传算法在搜索过程中,往往会由于出现影响生产适应度高的个体而对遗传算法搜索过程产生影响的现象发生,因此需要对常规遗传算法进行改进。使用的方法是通过混合编码方式进行改进,同时对交叉算子、变异算子、交叉概率以及变异概率等参数进行优化修正。使用KDD CUP99数据库中的网络异常流量数据进行实验研究,研究结果表明,所提出方法的检测性能要明显优于常规算法,其对BP神经网络的结构、权值以及阈值进行同步优化,避免了盲目选择BP神经网络结构参数带来的问题,避免了常规BP神经网络容易陷入局部最优解的问题。     

基于单分类支持向量机和主动学习的网络异常检测研究

对基于支持向量机和主动学习的异常检测方法进行了研究,首先利用原始数据采用无监督方式建立单分类支持向量机模型,然后结合主动学习找出对提高异常检测性能最有价值的样本进行人工标记,利用标记数据和无标记数据以半监督方式对基于单分类支持向量机的异常检测模型进行扩展。实验结果表明,所提方法能够利用少量标记数据获取性能提升,并能够通过主动学习减小人工标记代价,更适用于实际网络环境。     

基于事件字典的行人异常事件检测

近年来极端行为和暴恐行为严重威胁着公共安全,行人异常事件检测已成为研究的热点问题.为了克服传统方法中对异常事件定义的模糊性、对行人异常行为特征的描述不够准确的缺点,提出一种基于事件字典的行人异常事件检测方法.本文方法的创新之处是构造了一种行人特征描述子,能够有效描述行人的身体各部分的变化规律,利用行人特征描述子提取样本的特征进行聚类分析,构建事件字典,预测事件的类别.在标准数据集BEHAVE Interactions Test Case Scenarios、UMN、UCSD上与LDA(Latent Dirichlet Allocation,潜在狄利克雷分布)和双稀疏字典的对比实验表明,该方法对于异常行为的检测准确有较高的检测准确率.     

RMPCM：一种基于健壮多元概率校准模型的全网络异常检测方法

提出了一种基于健壮多元概率校准模型的异常检测方法。该方法使用基于多元t分布的隐变量概率模型建立流量矩阵的常态模型,通过比较样本与常态模型之间的马氏距离进行流量异常检测。理论分析和实验表明该方法的健壮性较好,应用场景宽泛,既可以处理完整数据也可以处理数据缺失的情况,对干扰抵抗力较强,并且对模型参数的敏感性较低,性能稳定。     

线性调频信号检测方法的研究

在线性调频信号体制雷达的数字脉冲压缩系统中对数字脉压后的脉冲串进行DFT相参处理时，若采样时刻偏离脉压回波的峰值时刻，不同的采样频率使得DFT相参积累后的信噪比会有不同程度的损失。本文详细分析了采样频率分别为20MHz和10MHz时对信号相参积累的影响，并对幅值检测和M／N检测两种检测方法的检测性能进行了比较，仿真结果表明，M／N检测优于幅值检测。